Hakeri zloupotrebljavaju popularni PDF konverter – PDFCandy za širenje malvera

 

Stručnjaci za sajber bezbjednost iz kompanije CloudSEK upozoravaju na novu kampanju širenja malvera u kojoj se koristi lažna verzija popularnog sajta za konvertovanje dokumenata, PDFCandy.com. Ova prevara koristi klonirani sajt kako bi širila opasni malver poznat kao ArechClient2.

Originalni PDFCandy koristi više od 2,5 miliona korisnika širom svijeta, što ga čini idealnim mamcem za sajber kriminalce koji ciljaju neoprezne korisnike.

 

Šta je ArechClient2 malver?

 

ArechClient2 pripada porodici malvera poznatoj kao SectopRAT, koja je aktivna još od 2019. godine. Ovaj virus krade osjetljive podatke kao što su korisnička imena, lozinke i informacije iz internet pregledača. Najčešće se širi putem lažnih Google oglasa, lažnih ažuriranja softvera i sada putem lažnih veb sajtova.

 

Kako funkcioniše lažni PDFCandy sajt

 

Hakeri su napravili kopiju PDFCandy sajta, koristeći domene sličnog naziva i gotovo identičan dizajn sajta kako bi prevarili posjetioce. Evo kako izgleda tok napada:

  • Korisnik dolazi na lažni sajt za konvertovanje fajlova
  • Unosi PDF dokument za konverziju
  • Sajt prikazuje lažnu animaciju učitavanja, kao da se fajl stvarno obrađuje
  • Nakon toga, pojavljuje se zahtjev za CAPTCHA verifikaciju

Prema istraživanju CloudSEK-a, CAPTCHA je ključni trenutak napada. Ona koristi socijalni inženjering kako bi sajt djelovao uvjerljivo i podstakao korisnika da nastavi dalje bez sumnje.

 

PowerShell komanda pokreće maliciozni napad

 

Nakon CAPTCHA verifikacije, sajt traži od korisnika da pokrene PowerShell komandu u Windows okruženju—što je vrlo opasan korak. Izvršavanjem komande korisnikov sistem biva kompromitovan.

Potom dolazi do preusmjerenja i automatskog preuzimanja fajla pod nazivom “adobe.zip”. Unutar tog fajla nalazi se folder “SoundBAND” sa malicioznim fajlom “audiobitexe”. Ovo je višestepeni napad koji koristi legitimne Windows alate kako bi instalirao ArechClient2 malver.

 

Zašto su lažni sajtovi za konverziju fajlova opasni

 

Ovo nije prvi put da se ovakav vid napada pojavljuje. Čak je i FBI nedavno upozorio na trend korišćenja besplatnih alata za konverziju dokumenata u svrhe širenja virusa. Ovi alati često tvrde da:

  • Pretvaraju fajlove, npr. .doc u .pdf
  • Spajaju slike, npr. više .jpg u jedan .pdf
  • Nude preuzimanje MP3 ili MP4 fajlova

Međutim, iza njih se često kriju opasni malveri.

 

Kako se zaštititi od PDFCandy malvera i sličnih prevara

 

Da biste se zaštitili od lažnih konvertera fajlova, preporučuje se sljedeće:

✅ Koristite provjerene i poznate sajtove za konverziju

✅ Uvijek provjerite URL adresu – pazite na sitne razlike u nazivu domena

✅ Nikada ne pokrećite PowerShell komande ili .exe fajlove bez potpune bezbjednosti

✅ Budite oprezni ako vas sajt traži da preuzmete fajl ili riješite CAPTCHA koja izgleda sumnjivo

✅ Instalirajte pouzdan antivirus i redovno ažurirajte sistem

 

Zaključak: Pažljivo sa besplatnim alatima na internetu

 

Ova PDFCandy prevara sa malverom pokazuje koliko lako hakeri mogu iskoristiti povjerenje korisnika i poznate alate. Bilo da koristite sajt za konverziju dokumenata ili neki drugi besplatan alat, uvijek budite oprezni. Provjerite adresu, ne klikćite bez razmišljanja, i nikad ne preuzimajte fajlove koji vam djeluju sumnjivo.